Mentions d'informations RGPD et droits CNIL - Agence régionale de santé ARS Pays de la Loire

La campagne nationale de vaccination contre les infections à papillomavirus humains implique la mise en œuvre de plusieurs traitements de données à caractère personnel.

Traitement des données issues des formulaires d’autorisation parentale à la vaccination aux fins de mise en œuvre de la vaccination dans les établissements scolaires.

Le formulaire d’autorisation parentale à la vaccination, qui figure en annexe à l’instruction interministérielle n° DGS/SP1/DGESCO/2023/99 du 19 juin 2023 relative à l’organisation d’une campagne nationale de vaccination contre les infections à papillomavirus humains (HPV) au collège à partir de la rentrée 2023-2024, comporte les données suivantes :

• Les données d’identité de l’enfant (nom et prénom, date de naissance et sexe) ;
• Les données d’identité et de contact des parents ou responsables légaux (nom et prénom, numéro de sécurité sociale auquel est rattaché l’enfant, code postal de résidence, numéro de téléphone portable), ainsi que des données relatives à leur situation administrative (régime de sécurité sociale et bénéfice ou non d’une complémentaire santé) ;
• L’autorisation à la vaccination contre les HPV et à d’autres vaccinations (obligatoires) ainsi que, en cas de signature par un seul responsable légal de ces autorisations, une déclaration quant à une responsabilité légale unique ou à l’autorisation donnée par le second responsable légal de l’enfant ;
• Les données relatives à la vaccination souhaitée, contre les HPV ou les autres pathologies mentionnées dans le formulaire d’autorisation complémentaire.

Ces données sont nécessaires aux fins d’identifier les élèves à vacciner dans les établissements scolaires, de s’assurer du respect des conditions de cette vaccination et d’organiser et de piloter cette campagne au niveau régional. Conformément aux missions légales des Agences régionales de santé (ARS), en charge de la prévention et de la promotion de la santé sur leur territoire (articles L. 1431-1 et suivants du code de la santé publique), et des centres de vaccination et structures habilités par les ARS à la vaccination (articles L. 3111-11 et D. 3111-22 du même code), le traitement de ces données est mis en œuvre, sur le fondement du e) du 1 de l’article 6 du RGPD (mission d’intérêt public), sous la responsabilité conjointe de chaque ARS et de chaque structure habilitée à la vaccination concernées.

L’ARS Pays de la Loire est ainsi responsable, conjointement avec les structures habilitées suivantes, des traitements de données issues des formulaires d’autorisation parentale à la vaccination des élèves des établissements scolaires suivants : 

• Etablissements scolaires de Loire-Atlantique (44) :
  • Centre Fédératif Prévention Dépistage 44 - Centre Hospitalier Universitaire de Nantes
  • Immeuble Le Tourville - 5 rue du Professeur Yves Boquien - 44093 Nantes Cedex 1
  • vosdonneespersonnelles@chu-nantes.fr
• Etablissements scolaires du Maine-et-Loire (49) :
  • Centre Fédératif Prévention Dépistage 49 - Centre Hospitalier Universitaire d’Angers
  • 4 rue Larrey - 49 933 Angers Cedex 9
  • usagers@chu-angers.fr
• Etablissements scolaires de Mayenne (53) :
  • Centre Fédératif Prévention Dépistage 53 - Centre Hospitalier de Laval
  • Niveau 02 (1er sous-sol) - 33 rue du Haut-Rocher - 53000 LAVAL
  • dpd@chlaval.fr
• Etablissements scolaires de la Sarthe 72 :
  • Centre de Prévention, de Vaccination et de Dépistage 72 - Centre Hospitalier du Mans
  • Bâtiment Duperrat (secteur B - porte 1) - 194 avenue Rubillard  - 72037 Le Mans cedex 9
  • dpo@ch-lemans.fr
• Etablissements scolaires de Vendée (85) :
  • Centre Fédératif Prévention Dépistage 85 - Centre Hospitalier Départemental
  • Boulevard Stéphane Moreau - 85 925 LA ROCHE-SUR-YON
  • dpo@ght85.fr

Conformément à l’article 26 du RGPD, un accord de responsabilité conjointe signé entre chaque ARS et chaque structure habilitée à la vaccination définit leurs obligations respectives à l’égard du traitement de ces données. Cet accord prévoit en particulier que : les formulaires remplis, recueillis par voie papier ne sont accessibles qu’aux seuls personnels compétents des structures habilitées à vacciner, en charge de la conservation sécurisée de ces données ; l’information des personnes est assurée par le biais de mentions dans le formulaire de collecte des données, complétées de mentions figurant sur les sites internet des ARS et du ministère chargé de la santé ; les structures habilitées à vacciner sont chargées de répondre aux demandes d’exercice des droits des personnes concernées ; les ARS sont autorisées à contracter seules, pour le compte des deux responsables de traitement, avec les sous-traitants chargés de la collecte, au sein des établissements scolaires publics ou privés concernés, des formulaires remplis.

Les données sont en effet collectées par l’intermédiaire des établissements scolaires, qui distribuent aux élèves concernés des formulaires d’autorisation parentale vierges. Après avoir été complétés par les parents ou responsables légaux, les formulaires papier sont remis sous enveloppe cachetée au chef de l’établissement, chargé de les transmettre aux structures habilitées à vacciner désignées par les ARS.

Seuls les agents habilités de ces structures peuvent prendre connaissance des données issues des formulaires, quel que soit leur mode de collecte.

Ces formulaires seront conservés par les structures habilitées à vacciner pendant une durée maximale de dix-huit (18) ans à compter du déplacement dans l’établissement scolaire dans lequel les vaccinations sont réalisées, à des fins de gestion des contentieux susceptibles de survenir. Cette conservation doit intervenir dans des conditions sécurisées et de nature à assurer l’intégrité et la confidentialité de ces formulaires.

Les personnes concernées par ces traitements ou, le cas échéant, leurs représentants légaux disposent de droits d’accès, de rectification, d’effacement, de limitation et d’opposition, prévus respectivement par les articles 15, 16, 17, 18 et 21 du RGPD. Ces droits peuvent s’exercer par l’intermédiaire du chef d’établissement de l’élève concerné, chargé de transmettre les demandes à la structure habilitée à vacciner concernée.

Ces personnes disposent également du droit d’adresser une réclamation auprès de la CNIL à l’égard du traitement de données dont elles font l’objet.

Traitements des données nécessaires à la prise en charge par l’assurance maladie et au suivi statistique

La campagne nationale de vaccination contre les HPV donne également lieu aux traitements de données habituellement mis en œuvre, dans les conditions de droit commun, en matière de vaccination des enfants.

Ainsi, chaque vaccination effectuée dans l’établissement scolaire est renseignée dans le carnet de santé (ou carnet de vaccination) de l’élève ainsi que, le cas échéant, dans Mon espace santé.

Après l’acte de vaccination, les centres et structures de vaccination transmettent aux organismes d’assurance-maladie les données d’identité des élèves, y compris le numéro de sécurité sociale auquel ils sont rattachés, aux fins de prise en charge financière des vaccins administrés.

Enfin, des données individuelles et non nominatives des élèves vaccinés seront transmises par la Caisse nationale de l’assurance maladie à l’Agence nationale de santé publique (Santé publique France), conformément à ses missions de veille sanitaire et de surveillance épidémiologique. Ces données seront traitées à des fins d’élaboration de statistiques relatives à l’estimation du nombre d’élèves vaccinés selon les territoires (niveau départemental, régional et national) et à l’impact de la campagne de vaccination ; ces statistiques agrégées et dépourvues de toute donnée à caractère personnel seront mises à disposition des ARS et du ministère chargé de la santé.

Objet du traitement de données :

Finalités

Le traitement a pour objet la gestion de tout évènement indésirable, ou tout effet inhabituel ayant un impact négatif sur la santé.

Il permet à l’ARS Pays de la Loire d’identifier de nouveaux risques et mieux connaître ceux qui sont déjà identifiés. Il permet également de mettre en œuvre des mesures pour prévenir ou limiter ces risques sanitaires, par la diffusion de mises en garde ou le retrait du marché de certains produits.

Base légale

Ce traitement est effectué conformément à l’article 6 (1.e) du règlement général sur la protection des données. Il relève de l'exercice de l'autorité publique dont est investie l’ARS en application du règlement général sur la protection des données et de la loi Informatique et Libertés modifiée.

Données traitées

• Catégories de données traitées :
  • pour les personnes faisant l’objet du signalement :
• Nom (dans certains cas uniquement)
• Prénom (dans certains cas uniquement)
• Date de naissance (dans certains cas uniquement)
• Situation maritale et composition du foyer (dans certains cas uniquement)
• Pathologies
• Description de l’événement indésirable
  • pour les professionnels de santé auteurs du signalement :
• Nom
• Établissement ou service
• Adresse et coordonnées de contact professionnelles

Source des données

Les données sont issues du signalement effectué par la personne à l’adresse mail suivante : « ars44-alerte@ars.sante.fr » ou par téléphone au numéro suivant : 0800 277 303.

Caractère obligatoire du recueil des données

Le recueil de ces informations est obligatoire pour exercer les missions de veille sanitaire de l’ARS Pays de la Loire.

Prise de décision automatisée

Le traitement ne prévoit pas de prise de décision automatisée.

Personnes concernées

Le traitement de données concerne uniquement les personnes qui effectuent un signalement et celles concernées par ce dernier.

Destinataires des données

• Catégories de destinataires

Dans le cadre de la surveillance des maladies nécessitant une intervention urgente locale, nationale ou internationale, les déclarations de maladies obligatoires transmises à l’ARS Pays de la Loire par les professionnels de santé sont anonymisées.

Les données personnelles collectées par les agents de l’ARS Pays de la Loire dans le cadre la gestion des signalements sont soumises au secret professionnel.

Peuvent être destinataires des données :

• les agents de l’ARS Pays de la Loire habilités à traiter ces signalements ;
• le cas échéant, en fonction de la nature et du contexte du signalement :
  • Les organismes publics compétents en matière de santé publique ;
  • Les administrations déconcentrées de l’Etat concernées par le signalement ;
  • Les organismes sous-traitants de l’ARS Pays de la Loire en matière de santé publique et environnementale.

Transferts des données hors UE

Aucun transfert de données hors de l'Union européenne n'est réalisé.

Durée de conservation des données

L’ARS Pays de la Loire conserve les données personnelles collectées pour une durée maximale de deux ans à compter de leur collecte.

Sécurité

L’ARS Pays de la Loire applique une politique de sécurité informatique conforme au RGPD.

Vos droits sur les données vous concernant

Vous pouvez accéder et obtenir copie des données vous concernant ainsi que les faire rectifier.

Exercer ses droits

Le délégué à la protection des données (DPO) de l’ARS Pays de la Loire est votre interlocuteur pour toute demande d'exercice de vos droits sur ce traitement. Vous pouvez le contacter à l’adresse mail suivante : ars-pdl-dpo@ars.sante.fr

Réclamation/plainte auprès de la CNIL

Si vous estimez que vos droits sur vos données ne sont pas respectés, vous pouvez adresser une réclamation/plainte à la CNIL.

Mention d’information des membres des instances de démocratie en santé (CRSA et CTS).

L’Agence Régionale de Santé (ARS) Pays de la Loire met en œuvre un traitement de données à caractère personnel concernant les membres des différentes instances de démocratie en santé dont l’ARS assure le secrétariat. La finalité de ce traitement est d’assurer le secrétariat de ces instances. Son fondement relève de l'exercice de l'autorité publique dont est investie l’ARS Pays de la Loire, conformément aux dispositions de l’article 6-1 e) du Règlement Général de Protection des Données (RGPD) du 27 avril 2016. Les données personnelles collectées sont les suivantes :

• nom,
• prénom,
• date de naissance,
• adresses postales et électroniques,
• téléphones,
• jouissance des droits civiques,
• et, le cas échéant, déclaration publique d’intérêt (DPI).

Les destinataires de ces données sont, dans la limite de leurs besoins au titre de leurs fonctions au sein de ces instances :

• S’agissant de la CRSA :
  • les agents de la mission démocratie sanitaire et usagers de l’ARS Pays de la Loire,
  • les agents assurant le secrétariat des commissions spécialisées et des groupes de travail relevant de la CRSA,
  • le chargé de mission CRSA pour les besoins liés à l'exercice de son activité de coordination,
  • les présidents, vice-présidents et responsables des différentes formations de la conférence régionale.
• S’agissant des CTS :
  • les agents assurant la gestion et le secrétariat des conseils territoriaux de santé (CTS),
  • les présidents et vice-présidents des conseils et de leurs différentes formations.

Les données sont conservées par l’ARS Pays de la Loire pour la durée du mandat de chaque membre de ces instances. Vous pouvez accéder aux données vous concernant et demander leur rectification. Vous disposez également d'un droit d’opposition et d’un droit à la limitation du traitement de vos données. Pour exercer ces droits ou pour toute question sur le traitement de vos données dans ce dispositif, vous pouvez contacter notre délégué à la protection des données (DPO). Si vous souhaitez exercer ces droits, veuillez-vous adresser par voie électronique à ars-pdl-dpo@ars.sante.fr ou par voie postale à : Le délégué à la protection des données : ARS Pays de la Loire, Boulevard Gaston Doumergue, 44262 NANTES.

Si vous estimez, après nous avoir contactés, que vos droits Informatique et Libertés ne sont pas respectés, vous pouvez adresser une réclamation en ligne à la CNIL (www.cnil.fr/fr/plaintes) ou par voie postale : 3 Place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07.